Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bazı senaryolarda sanal makinelerin veya işlem örneklerinin İnternet'e giden bağlantısı olması gerekir. Genel yük dengeleyicinin ön uç IP'leri, arka uç örnekleri için İnternet'e giden bağlantı sağlamak için kullanılabilir. Bu yapılandırma, sanal makinenin özel IP'sini yük dengeleyicinin genel IP adresine çevirmek için kaynak ağ adresi çevirisini (SNAT) kullanır. SNAT, arka ucun IP adresini yük dengeleyicinizin genel IP adresiyle eşleştirir. SNAT, dış kaynakların arka uç örneklerine doğrudan bir adres olmasını önler.
Azure'ın giden bağlantı yöntemleri
Aşağıdaki yöntemler, Azure'ın giden bağlantıyı etkinleştirmek için en sık kullanılan yöntemleridir ve birden çok yöntem kullanıldığında öncelik sırasına göre listelenmiştir:
# | Metot | Port ayırma türü | Üretim kalitesinde mi? | Derecelendirme |
---|---|---|---|---|
1 | NAT ağ geçidini alt ağ ile ilişkilendirme | Dinamik, açık | Yes | En iyi |
2 | Sanal makineye genel IP atama | Statik, açık | Yes | Tamam |
3 | Yük dengeleyicinin ön uç IP adreslerini ağ çıkışı için çıkış kuralları aracılığıyla kullanın. | Statik, açık | Evet, ancak uygun ölçekte değil | Tamam |
4 | Giden kuralları olmaksızın çıkış için yük dengeleyicinin ön uç IP adres(ler)ini kullanın. | Statik, Gizli | Hayır | Kötü |
5 | Varsayılan giden erişim | Örtük | Hayır | Kötü |
1. NAT ağ geçidini alt ağ ile ilişkilendirme
Azure NAT Gateway, sanal ağlar için yalnızca giden İnternet bağlantısını basitleştirir. Bir alt ağda yapılandırıldığında, tüm giden bağlantılar belirtilen statik genel IP adreslerinizi kullanır. Sanal makinelere doğrudan bağlı yük dengeleyici veya genel IP adresleri olmaksızın giden bağlantı mümkündür. NAT Gateway tam olarak yönetilir ve yüksek oranda dayanıklıdır.
NAT ağ geçidi kullanmak, giden bağlantı için en iyi yöntemdir. NAT ağ geçidi son derece genişletilebilir, güvenilirdir ve SNAT bağlantı noktası tükenmesi konusunda aynı endişelere sahip değildir.
NAT ağ geçidi yük dengeleyici, örnek düzeyinde genel IP adresleri ve Azure Güvenlik Duvarı gibi diğer giden bağlantı yöntemlerine göre önceliklidir.
Azure NAT Gateway hakkında daha fazla bilgi için bkz . Azure NAT Gateway nedir? SNAT davranışının NAT Gateway ile nasıl çalıştığı hakkında ayrıntılı bilgi için SNAT ile NAT Ağ Geçidi bölümüne bakın.
2. Sanal makineye genel IP atama
Dernekler | Metot | IP protokolleri |
---|---|---|
VM'nin NIC'sinde genel IP | SNAT (Kaynak Ağ Adresi Çevirisi) kullanılmaz. |
TCP (İletim Denetimi Protokolü) UDP (Kullanıcı Veri Birimi Protokolü) ICMP (İnternet Denetim İletisi Protokolü) ESP (Kapsülleyen Güvenlik Yükü) |
Trafik, sanal makinenin genel IP adresinden (Örnek Düzeyi IP) istekte bulunan istemciye döner.
Azure, tüm giden akışlar için örneğin NIC'sinin IP yapılandırmasına atanan genel IP'yi kullanır. Örnekte tüm geçici portlar mevcuttur. VM'nin yük dengeli olup olmaması önemli değildir. Bu senaryo, NAT Ağ Geçidi dışında diğerlerinden önceliklidir.
VM'ye atanan genel IP, (1: çok yerine) 1:1 ilişkisidir ve durumsuz 1:1 NAT olarak uygulanır.
3. Yük dengeleyicilerinin ön uç IP adreslerini, giden kuralları aracılığıyla giden bağlantılar için kullanın.
Giden kuralları, standart SKU genel yük dengeleyici için SNAT'yi (kaynak ağ adresi çevirisi) açıkça tanımlamanıza olanak tanır. Bu yapılandırma, arka uç örneklerinin giden bağlantısı için yük dengeleyicinizin genel IP'ini veya IP'lerini kullanmanıza olanak tanır.
Bu yapılandırma şunları etkinleştirir:
IP maskeleme
İzin verilenler listelerinizi basitleştirme
Dağıtım için genel IP kaynaklarının sayısını azaltır
Giden bağlantı kuralları ile, giden internet bağlantısı üzerinde tamamen tanımlayıcı bir denetime sahipsiniz. Giden kuralları, manuel port ayırma yoluyla bu özelliği belirli gereksinimlerinize göre ölçeklendirmenize ve ince ayar yapmanıza olanak sağlar. Arka uç havuzu boyutuna ve ön uçIPConfigurations sayısına göre SNAT bağlantı noktasını el ile ayırmak, SNAT tükenmesini önlemeye yardımcı olabilir.
SNAT bağlantı noktalarını manuel olarak "örnek başına bağlantı noktaları" veya "arka uç sunucu örneklerinin üst sınırı" ile tahsis edebilirsiniz. Arka uçta sanal makineleriniz varsa maksimum SNAT bağlantı noktası kullanımı elde etmek için bağlantı noktalarını "örnek başına bağlantı noktaları" ile tahsis etmeniz önerilir.
Örnek başına bağlantı noktalarını aşağıdaki gibi hesaplayın:
Ön uç IP sayısı * 64K / Arka uç örneği sayısı
Arka uçta Sanal Makine Ölçek Kümeleri varsa, bağlantı noktalarını "en fazla arka uç örneği sayısına" göre ayırmanız önerilir. Arka uçta kalan SNAT bağlantı noktalarına göre daha fazla VM eklenirse, Sanal Makine Ölçek Kümelerinin ölçek genişletmesi engellenebilir veya yeni VM'ler yeterli SNAT bağlantı noktası alamaz.
Not
Giden kuralları kullanılarak birden çok ön uç IP yapılandırıldığında, giden bağlantılar arka uç örneğine yapılandırılmış ön uç IP adreslerinden herhangi birinden gelebilir. Bağlantılar için ön uç IP'lerinin seçilebileceği herhangi bir bağımlılık oluşturulması önerilmez.
Giden kuralları hakkında daha fazla bilgi için bkz Giden kuralları.
4. Giden işlemler için giden kurallar olmadan yük dengeleyicisinin ön uç IP adreslerini kullanın
Bu seçenek, giden kural oluşturulmamış olması dışında öncekine benzer. Bu durumda, yük dengeleyici ön uçları giden işlemler için hala kullanılır, ancak hangi ön ucun kullanılacağını belirleyen kurallar olmaksızın, bu işlem dolaylı olarak yapılır. Giden kurallarını kullanmamak, örtük giden bağlantısının, ön uç IP adresi başına belirli sayıda SNAT portuna sahip olması nedeniyle, giden bağlantıların ölçeklenebilirliğini de azaltır. Bu da yüksek trafikli senaryolarda port tükenmesine yol açabilir.
5. Varsayılan giden erişim
Azure'da, açık giden bağlantısı tanımlı olmayan bir sanal ağda oluşturulan sanal makinelere varsayılan bir giden genel IP adresi atanır. Bu IP adresi, kaynaklardan İnternet'e giden bağlantıyı etkinleştirir. Bu erişim varsayılan giden erişim olarak adlandırılır. Güvenli olmadığından ve IP adresleri değiştirilebilir olduğundan bu erişim yöntemi önerilmez .
Önemli
30 Eylül 2025'te, yeni dağıtımlar için varsayılan giden erişim kullanımdan kaldırılacaktır. Daha fazla bilgi için resmi duyuruya bakın. Yukarıdaki 1-3 seçeneklerinde gösterildiği gibi açık bağlantı biçimlerinden birini kullanmanız önerilir.
SNAT bağlantı noktaları nedir?
Bağlantı noktaları, ayrı akışları korumak için kullanılan benzersiz tanımlayıcılar oluşturmak için kullanılır. İnternet bu ayrımı sağlamak için beşli küme kullanır.
Bir bağlantı noktası gelen bağlantılar için kullanılıyorsa, bu bağlantı noktasında gelen bağlantı istekleri için bir dinleyicisi vardır. Bu bağlantı noktası giden bağlantılar için kullanılamaz. Giden bir bağlantı kurmak için, hedefe iletişim kuracak ve ayrı bir trafik akışını sürdürecek bir port sağlamak amacıyla geçici bir bağlantı noktası kullanılır. Bu kısa ömürlü bağlantı noktaları SNAT için kullanıldığında, bunlara SNAT bağlantı noktaları denir.
Tanım gereği, her IP adresinin 65.535 bağlantı noktası vardır. Her bağlantı noktası TCP (İletim Denetimi Protokolü) ve UDP (Kullanıcı Veri Birimi Protokolü) için gelen veya giden bağlantılar için kullanılabilir. Genel IP adresi yük dengeleyiciye ön uç IP olarak eklendiğinde 64.000 bağlantı noktası SNAT için uygundur.
Yük dengeleme veya gelen NAT kuralında kullanılan her bağlantı noktası, 64.000 kullanılabilir SNAT bağlantı noktasından sekiz bağlantı noktası aralığı kullanır. Bu kullanım, giden bağlantı için aynı ön uç IP'sinin kullanılması durumunda SNAT için uygun bağlantı noktası sayısını azaltır. Yük dengeleme veya gelen NAT kuralları tarafından kullanılan bağlantı noktaları başka bir kural tarafından kullanılan sekiz bağlantı noktasının aynı bloğundaysa, kurallar fazladan bağlantı noktası gerektirmez.
Not
Azure Depolama, Azure SQL veya Azure Cosmos DB gibi desteklenen Azure PaaS hizmetlerine bağlanmanız gerekiyorsa, SNAT'yi tamamen önlemek için Azure Özel Bağlantı kullanabilirsiniz. Azure Özel Bağlantı, sanal ağınızdan Azure hizmetlerine İnternet üzerinden değil Azure omurga ağı üzerinden trafik gönderir.
Özel Bağlantı, Azure'da barındırılan hizmetlere özel erişim için hizmet uç noktaları üzerinden önerilen seçenektir. Özel Bağlantı ve hizmet uç noktaları arasındaki fark hakkında daha fazla bilgi için bkz. Özel Uç Noktaları ve Hizmet Uç Noktalarını Karşılaştırma.
Varsayılan SNAT nasıl çalışır?
Vm giden akış oluşturduğunda Azure, kaynak IP adresini kısa ömürlü bir IP adresine çevirir. Bu çeviri SNAT aracılığıyla yapılır.
Genel bir yük dengeleyici aracılığıyla giden kuralları olmadan SNAT kullanılıyorsa, SNAT bağlantı noktaları aşağıdaki varsayılan SNAT bağlantı noktaları ayırma tablosunda açıklandığı gibi önceden atanır.
Varsayılan bağlantı noktası ayırma tablosu
Varsayılan bağlantı noktası ayırma etkinleştirildiğinde, SNAT bağlantı noktaları arka uç havuzu boyutuna göre varsayılan olarak ayrılır. Arka uç sunucular, tablo tarafından tanımlanan, ön uç IP başına en fazla 1024 bağlantı noktası sayısını alır. Varsayılan bağlantı noktası ayırma, her arka uç örneğine en az sayıda bağlantı noktası ayırdığından ve SNAT bağlantı noktası tükenme riskini artırdığından üretim iş yükleri için önerilmez. Bunun yerine NAT Gateway'i kullanmayı veya yük dengeleyici giden kurallarınızda portları el ile ayırmayı göz önünde bulundurun.
Varsayılan bağlantı noktası ayırmanın etkinleştirilebileceği birden çok yol vardır:
- DisableOutboundSnat ayarı false olarak ayarlanmış bir yük dengeleme kuralını yapılandırma veya Azure portalındaki bir yük dengeleme kuralında varsayılan bağlantı noktası ayırma seçeneğini seçme.
- Giden kuralı yapılandırma ancak allocatedOutboundPorts özelliğini 0 olarak ayarlama veya Azure portalında "Varsayılan bağlantı noktası ayırmayı etkinleştir" seçeneğini belirleme
Örneğin, arka uç havuzunda 100 VM ve yalnızca bir ön uç IP'siyle her VM 512 bağlantı noktası alır. İkinci bir ön uç IP'si eklenirse, her VM fazladan 512 bağlantı noktası alır. Bu, her VM'ye toplam 1.024 bağlantı noktası ayrıldığı anlamına gelir. Sonuç olarak, üçüncü bir ön uç IP'sinin eklenmesi ayrılan SNAT bağlantı noktalarının sayısını 1024 bağlantı noktasının üzerine çıkarMAYACAKTIR.
Temel kural olarak, varsayılan bağlantı noktası ayırma uygulandığında sağlanan SNAT bağlantı noktalarının sayısı şu şekilde hesaplanabilir: MIN(havuz boyutuna göre sağlanan varsayılan SNAT bağlantı noktalarının sayısı * havuzla ilişkilendirilmiş ön uç IP sayısı, 1024)
Aşağıdaki tabloda, arka uç havuzu boyutuna bağlı olarak tek bir ön uç IP'sinin SNAT bağlantı noktası ön yüklemeleri gösterilmektedir:
Havuz boyutu (VM örnekleri) | Varsayılan SNAT bağlantı noktaları |
---|---|
1-50 | 1,024 |
51-100 | 512 |
101-200 | 256 |
201-400 | 128 |
401-800 | 64 |
801-1,000 | 32 |
Bağlantı noktası tükenmesi
Aynı hedef IP'ye ve hedef bağlantı noktasına yapılan her bağlantıda bir SNAT bağlantı noktası kullanılır. Bu bağlantı, arka uç örneğinden veya istemciden bir sunucuya doğru ayrı bir trafik akışı tutar. Bu işlem sunucuya trafiği ele almak için ayrı bir bağlantı noktası sağlar. Bu işlem olmadan, istemci makine bir paketin parçası olduğu akışın farkında değildir.
Aynı anda birden çok tarayıcının https://www.microsoft.com adresine gittiğini hayal edin:
Hedef IP = 23.53.254.142
Hedef Bağlantı Noktası = 443
Protokol = TCP
dönüş trafiği için SNAT bağlantı noktaları olmadan istemcinin bir sorgu sonucunu diğerinden ayırma yolu yoktur.
Giden bağlantılar patlayabilir. Bir arka uç örneğine yetersiz bağlantı noktaları tahsis edilebilir. Uygulamanızda bağlantı yeniden kullanma işlevini kullanın. Bağlantı yeniden kullanım olmadan, SNAT bağlantı noktası tükenme riski artar.
Azure Uygulaması Hizmeti ile bağlantı havuzu oluşturma hakkında daha fazla bilgi için bkz. Azure Uygulaması Hizmetinde aralıklı giden bağlantı hatalarını giderme
Bağlantı noktası tükenmesi oluştuğunda hedef IP'ye yeni giden bağlantılar başarısız oluyor. Bağlantı noktası kullanılabilir olduğunda bağlantılar başarılı olur. Bu tükenme, bir IP adresinden gelen 64.000 bağlantı noktasının birçok arka uç örneğine yayılmasıyla oluşur. SNAT bağlantı noktası tükenmesini azaltma yönergeleri için sorun giderme kılavuzuna bakın.
Bağlantı noktasının yeniden kullanımı
TCP bağlantıları için yük dengeleyici her hedef IP ve bağlantı noktası için tek bir SNAT bağlantı noktası kullanır. Aynı hedef IP'ye bağlantılar için, hedef bağlantı noktası farklılık gösterdiği sürece tek bir SNAT bağlantı noktası yeniden kullanılabilir. Aynı hedef IP'ye ve bağlantı noktasına bağlantı zaten varsa yeniden kullanmak mümkün değildir.
UDP bağlantıları için yük dengeleyici, hedef bağlantı noktasından bağımsız olarak hedef IP başına bir SNAT bağlantı noktası kullanan bağlantı noktası kısıtlı koni NAT algoritması kullanır.
Tek tek bağlantı noktaları, yeniden kullanıma izin verilen sınırsız sayıda bağlantı için yeniden kullanılabilir (hedef IP veya bağlantı noktası farklı olduğunda).
Aşağıdaki tablodaki örnekte, özel IP 10.0.0.1'e sahip bir arka uç örneği hedef IP'lere 23.53.254.142 ve 26.108.254.155 TCP bağlantıları oluştururken yük dengeleyici 192.0.2.0 ön uç IP adresiyle yapılandırılır. Hedef IP'ler farklı olduğundan, aynı SNAT bağlantı noktası birden çok bağlantı için yeniden kullanılabilir.
Akış | Kaynak tanımlama grubu | SNAT'nin ardından kaynak tuple | Hedef tanımlama grubu |
---|---|---|---|
1 | 10.0.0.1:80 | 192.0.2.0:1 | 23.53.254.142:80 |
2 | 10.0.0.1:80 | 192.0.2.0:1 | 26.108.254.155:80 |
Sınırlamalar
Yeni paket gönderilmeden bir bağlantı boşta kaldığında, bağlantı noktaları 4 - 120 dakika sonra serbest bırakılır.
Bu eşik dışa giden kurallar aracılığıyla yapılandırılabilir.
Her IP adresi, SNAT için kullanılabilecek 64.000 bağlantı noktası sağlar.
Her bağlantı noktası, hedef IP adresine hem TCP hem de UDP bağlantıları için kullanılabilir
Hedef bağlantı noktası benzersiz olsa da olmasa da UDP SNAT bağlantı noktası gereklidir. Hedef IP'ye yapılan her UDP bağlantısı için bir UDP SNAT bağlantı noktası kullanılır.
Tcp SNAT bağlantı noktası, hedef bağlantı noktalarının farklı olması koşuluyla aynı hedef IP'ye birden çok bağlantı için kullanılabilir.
SNAT tükenmesi, bir arka uç örneğinin verilen SNAT Bağlantı Noktalarını tüketmesi durumunda oluşur. Yük dengeleyicide kullanılmayan SNAT bağlantı noktaları bulunabilir. Arka uç örneğinin kullandığı SNAT bağlantı noktaları tahsis edilen SNAT bağlantı noktalarını aşarsa, yeni giden bağlantılar kuramaz.
Parçalanmış paketler, sanal makinenin NIC'sindeki örnek düzeyinde genel IP aracılığıyla çıkmadığı sürece düşürülür.
Ağ arabiriminin ikincil IPv4 yapılandırmaları giden kurallarla desteklenmez. İkincil IPv4 yapılandırmalarında giden bağlantı için örnek düzeyi genel IP'leri ekleyin veya bunun yerine NAT Ağ Geçidi'ni kullanın.
Sonraki adımlar
- SNAT tükenmesi nedeniyle çıkış bağlantı hatalarını giderme
- SNAT ölçümlerini gözden geçirin ve bunları filtrelemenin, bölmenin ve görüntülemenin doğru yolu hakkında bilgi edinin.
- Mevcut giden bağlantı yönteminizi NAT ağ geçidine geçirmeyi öğrenin